王全民,韓曉芳

(北京工業(yè)大學(xué) 信息學(xué)部,北京 100124)

1 引言

Netflow日志可以提供非常精準(zhǔn)的流量測(cè)量,被廣泛應(yīng)用在DDOS 監(jiān)控、入侵檢測(cè)、流量統(tǒng)計(jì)等方面,所以對(duì)Netflow 數(shù)據(jù)的研究具有極強(qiáng)的實(shí)用意義,很多研究者將此可視化研究的切入點(diǎn).如Nunnally T[1]將傳統(tǒng)的平行坐標(biāo)軸進(jìn)行了拓展,提出采用3D Parallel Coordinate 方法對(duì)安全數(shù)據(jù)進(jìn)行可視化,并取得了較好的效果.但該方法在數(shù)據(jù)量過(guò)大時(shí),線條之間會(huì)發(fā)生重疊,難以從中發(fā)現(xiàn)有用的信息.Flow-In-Spector[2]采用多圖綜合的可視化技術(shù)實(shí)時(shí)顯示網(wǎng)絡(luò)流數(shù)據(jù),實(shí)現(xiàn)了直方圖、力引導(dǎo)圖、輻射圖的繪制.吳亞東等[3]為了增強(qiáng)分析系統(tǒng)的可交互性,設(shè)計(jì)了一種三維多層球面空間的可視化模型.陳鵬等[4]利用信息熵的流量異常數(shù)據(jù)挖掘算法,提高了流量異常檢測(cè)的成功率,并實(shí)現(xiàn)了一個(gè)三維可視化的流量監(jiān)測(cè)系統(tǒng).張勝等[5]針對(duì)Netflow日志用樹圖和時(shí)間序列圖結(jié)合的方式實(shí)現(xiàn)了可視化系統(tǒng),但當(dāng)數(shù)據(jù)量較大時(shí),二維的時(shí)間序列圖會(huì)造成圖形覆蓋,且樹圖會(huì)占用較大的屏幕空間,對(duì)量大、維度多的數(shù)據(jù)展示很不友好.

在可視化分析方向,多視圖的關(guān)聯(lián)分析和可交互式查詢對(duì)幫助網(wǎng)絡(luò)安全管理人員從多維度觀測(cè)當(dāng)前網(wǎng)絡(luò)狀態(tài)至關(guān)重要.比如趙穎等[6]通過(guò)時(shí)序化的平行坐標(biāo)視圖、多主體的矩陣視圖、多主體的時(shí)序視圖、相似度擴(kuò)展樹視圖分析網(wǎng)絡(luò)流量日志數(shù)據(jù).ENTVis[7]利用雷達(dá)圖、矩陣圖等可視化方法支持基于信息熵的網(wǎng)絡(luò)攻擊流量特征分析,Shi 等[8]利用改進(jìn)雷達(dá)圖進(jìn)行網(wǎng)絡(luò)事件關(guān)聯(lián)分析.以上技術(shù)雖然通過(guò)特征抽取、降維、采樣或聚合的方法減少了數(shù)據(jù)項(xiàng)和數(shù)據(jù)維度,但交互性并不好.

綜上所述,針對(duì)Netflow日志的可視化分析技術(shù)研究已有很大突破,但在多視圖綜合交互以及多維度數(shù)據(jù)可視化方面仍有很高的提升空間.因此,本文重點(diǎn)提出了用三維柱狀圖代替二維坐標(biāo)圖展示數(shù)據(jù),它可以提供旋轉(zhuǎn)、縮放、篩選等多種交互方式解決密集數(shù)據(jù)遮掩的問題,針對(duì)平行坐標(biāo)軸引入信息熵算法實(shí)現(xiàn)多維度特征的統(tǒng)一化處理,能較好的展示多維度數(shù)據(jù).在最后的在案例分析中,利用本文的可視化分析系統(tǒng)實(shí)現(xiàn)了端口掃描、DDos 攻擊網(wǎng)絡(luò)異常行為的分析.

2 系統(tǒng)可視化框架

為了幫助網(wǎng)絡(luò)安全人員從整體到局部,循序漸進(jìn)的對(duì)整個(gè)網(wǎng)絡(luò)態(tài)勢(shì)有準(zhǔn)確的掌控,本文設(shè)計(jì)了一個(gè)兩層的可視化框架,如圖1、圖2所示.圖1中的三維柱狀圖幫助用戶了解當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì),平行坐標(biāo)圖對(duì)應(yīng)網(wǎng)絡(luò)整體流量時(shí)序的多維特征分析,用以分析各個(gè)維度的詳細(xì)信息.圖2細(xì)節(jié)圖提供了3 個(gè)可視化視圖,多維氣泡圖和矩陣圖詳細(xì)介紹了多種網(wǎng)絡(luò)活動(dòng)主體在某個(gè)時(shí)間段內(nèi)的細(xì)節(jié)分布,流量時(shí)序視圖對(duì)應(yīng)某個(gè)網(wǎng)絡(luò)活動(dòng)主體的時(shí)序特征分析.

2.1 三維柱狀圖

任何網(wǎng)絡(luò)行為的發(fā)生都會(huì)在Netflow日志中留下一條flow 記錄,該記錄中的字節(jié)數(shù)反映了此次網(wǎng)絡(luò)行為占用的流量大小.當(dāng)有可疑的網(wǎng)絡(luò)行為發(fā)生時(shí),可以通過(guò)分析Netflow日志中的字節(jié)數(shù),判斷其行為是否異常,比如當(dāng)有大量的攻擊行為產(chǎn)生時(shí),網(wǎng)絡(luò)流量的數(shù)量級(jí)別會(huì)顯著升高.

圖1 概覽圖

圖2 細(xì)節(jié)圖

以前針對(duì)流量的展示方法大多是二維的折線圖和柱狀圖,無(wú)法從多個(gè)角度分析當(dāng)前流量的分布,本文的三維柱狀圖(如圖3)按時(shí)間序列統(tǒng)計(jì)一段時(shí)間內(nèi)不同協(xié)議下的字節(jié)數(shù),從圖3柱狀圖的高低和顏色的深淺,用戶可以快速判斷出TCP 協(xié)議下,顏色較深且柱狀圖較高的時(shí)間段內(nèi),流量異常增多,而在整個(gè)時(shí)間段內(nèi)UDP 協(xié)議和其他協(xié)議下的流量較少.用戶可點(diǎn)擊圖3右下角的方塊(從下到上,流量大小按區(qū)間遞增)快速篩選目標(biāo)數(shù)據(jù),也可利用放大、平移和旋轉(zhuǎn)功能,快速查看被遮擋區(qū)間內(nèi)的詳細(xì)數(shù)據(jù).算法1 給出了本文采用Echarts 實(shí)現(xiàn)三維柱狀圖的核心算法.

圖3 三維柱狀圖

2.2 平行坐標(biāo)圖

分析人員通過(guò)觀測(cè)三維柱狀圖中流量的大小,能快速定位異常時(shí)刻.為了判斷該時(shí)刻下可能發(fā)生的異常行為類型,分析人員需要同時(shí)觀測(cè)Netflow 的多個(gè)維度特征,以做出更準(zhǔn)確的決策.

Netflow 數(shù)據(jù)中的源地址(srcIP)、源端口(srcPort)、目的地址(destIP)、目的端口(destPort)、連接數(shù)(link)、字節(jié)數(shù)(destTotalBytes)和包數(shù)(destPackets),這7 個(gè)維度最能體現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的變化.由于各個(gè)特征間的數(shù)量級(jí)別差異較大,且不同的維度統(tǒng)計(jì)分析的指標(biāo)不同,無(wú)法直接使用以上7 個(gè)特征的統(tǒng)計(jì)值作為分析點(diǎn).信息熵能有效度量網(wǎng)絡(luò)活動(dòng)的隨機(jī)特征,它是一種對(duì)異常分布很敏感的度量參數(shù),體現(xiàn)了數(shù)據(jù)分布的不確定性和無(wú)序性,數(shù)據(jù)分布越有規(guī)律,熵值越小；越無(wú)序混亂,熵值越大.下面我們以目的端口熵為例,介紹網(wǎng)絡(luò)信息熵的計(jì)算方法,設(shè)某一時(shí)間段內(nèi),流量端口號(hào)集合為隨機(jī)變量Y,則Y的取值空間為Y={yi,j=1,2,···,N},yj為某個(gè)端口號(hào)在該時(shí)間段下出現(xiàn)的次數(shù),j實(shí)際取值范圍0-65535,S為該時(shí)間段內(nèi)總的目的端口數(shù),則該時(shí)間段內(nèi)的目的端口熵為：

例如某些類型的DDOS 攻擊是通過(guò)發(fā)送海量的攻擊包到特定的目的主機(jī),從而達(dá)到讓某個(gè)被攻擊目標(biāo)的服務(wù)陷入癱瘓,這時(shí)被攻擊的目的IP 固定分布在某幾個(gè),目的IP 熵會(huì)變小,攻擊的源IP 熵增大.導(dǎo)致網(wǎng)絡(luò)流量異常的行為有很多種,常見的異常流量熵模式如表1所示.

平行坐標(biāo)圖能很好的支持用戶從多個(gè)維度協(xié)同分析數(shù)據(jù)特征,它是一種基于二維圖形表達(dá)高維數(shù)據(jù)的可視化技術(shù),能將復(fù)雜的高維數(shù)據(jù)在平面圖中展示出來(lái),較為節(jié)省屏幕空間,如圖1的平行坐標(biāo)圖展示了整個(gè)時(shí)間段內(nèi)的數(shù)據(jù),利用鼠標(biāo)的篩選功能,得到某個(gè)時(shí)刻下的平行坐標(biāo)圖,如圖4.

圖4 端口掃描攻擊—平行坐標(biāo)圖

本文平行坐標(biāo)圖的可視化過(guò)程主要分為兩步：首選是數(shù)據(jù)處理,如圖4選取時(shí)間作為平行坐標(biāo)軸的測(cè)量維度,針對(duì)源IP、目的IP、源端口、目的端口四個(gè)維度引入信息熵算法計(jì)算,由于各個(gè)維度的信息熵具有不同的數(shù)量級(jí),采用除以最大值的歸一化處理,使取值都落在0 和1 之間.針對(duì)字節(jié)數(shù)、連接數(shù)和包數(shù)量,采用統(tǒng)計(jì)求和的方法,為了和信息熵的數(shù)量級(jí)保持一致,也采用歸一化處理.其次是平行坐標(biāo)圖繪制,即將數(shù)據(jù)源轉(zhuǎn)換為矩陣模型,再將矩陣映射為平行坐標(biāo)系上對(duì)應(yīng)的數(shù)據(jù).算法2 給出了平行坐標(biāo)可視化的核心算法.

2.3 氣泡圖和矩陣圖

利用平行坐標(biāo)圖確定攻擊行為類型后,為進(jìn)一步確定網(wǎng)絡(luò)攻擊的來(lái)源、受攻擊的主機(jī)和此次攻擊行為對(duì)網(wǎng)絡(luò)造成的影響,本文選擇端口和主機(jī)的各項(xiàng)數(shù)據(jù)特征,包括字節(jié)數(shù)、連接數(shù)和主機(jī)的活躍端口數(shù)作為監(jiān)測(cè)對(duì)象.

傳統(tǒng)可視化方法主要利用像素圖和樹圖,對(duì)某時(shí)刻網(wǎng)絡(luò)流量在主機(jī)和端口上的分布情況進(jìn)行可視化,但大量的主機(jī)和端口看起來(lái)冗余又復(fù)雜,用戶難以快速定位到感興趣的信息.Netflow日志主要監(jiān)測(cè)系統(tǒng)的網(wǎng)絡(luò)流量數(shù)據(jù),當(dāng)某些網(wǎng)絡(luò)攻擊行為發(fā)生時(shí),如DDOS、端口掃描等攻擊行為會(huì)造成主機(jī)或端口號(hào)的流量激增,此時(shí)分析流量激增的某幾臺(tái)主機(jī)和端口號(hào),就可以判斷此次網(wǎng)絡(luò)攻擊行為的源,流量較少或變化較小的主機(jī)無(wú)法為用戶提供有效且豐富的決策信息,可以忽略.因此本文將自動(dòng)過(guò)濾影響用戶判斷的流量較少的主機(jī)和端口數(shù)據(jù),僅展示各個(gè)維度Top-20 數(shù)量級(jí)的信息,用矩陣圖結(jié)合氣泡圖的形式展示,增強(qiáng)用戶交互體驗(yàn).

圖5左側(cè)矩陣圖展示的是流量Top-20 的主機(jī)和端口信息,右側(cè)展示了對(duì)應(yīng)矩陣圖中四個(gè)維度的Top-5 流量信息.如圖6氣泡圖通過(guò)氣泡的大小展示數(shù)量級(jí)別,針對(duì)數(shù)量級(jí)別差異過(guò)大的情況,本文選擇縮小氣泡半徑大小的極差,在不影響可視化的情況下,展示圖形中每一個(gè)級(jí)別的數(shù)據(jù).

2.4 流量時(shí)序圖

矩陣圖和氣泡圖只展示了網(wǎng)絡(luò)活動(dòng)IP 和端口在特定時(shí)間段內(nèi)的網(wǎng)絡(luò)態(tài)勢(shì),對(duì)于感興趣的主機(jī)和端口,需要通過(guò)分析其在正常和異常時(shí)刻的網(wǎng)絡(luò)流量變化情況,以進(jìn)一步確定他們的行為特征.本文采用流量時(shí)序圖,如圖7,以觀測(cè)在矩陣圖和氣泡圖中可疑的主機(jī)或端口,此外用戶可以通過(guò)時(shí)間軸上的滑塊進(jìn)行區(qū)間選擇,對(duì)數(shù)據(jù)集進(jìn)行篩選,如圖8.

圖5 端口掃描攻擊—矩陣圖

圖6 端口掃描攻擊—?dú)馀輬D

綜上,本系統(tǒng)綜合多種圖形實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的可視化,以幫助用戶快速定位到網(wǎng)絡(luò)異常時(shí)刻,同時(shí)更便于理解圖中量多且復(fù)雜的折線.多圖形間的可視化交互是本文的創(chuàng)新之處,也是關(guān)聯(lián)分析多維度數(shù)據(jù)的重要手段,它凸顯了可視化的意義,提高了用戶的交互體驗(yàn),也讓整個(gè)系統(tǒng)更加緊密.

3 案例分析

本文選擇可視化分析挑戰(zhàn)賽VAST 2013 Challenge-Mini Challenge 3[9]提供的Netflow日志數(shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù),圖9是利用本文的可視化系統(tǒng),檢測(cè)實(shí)驗(yàn)數(shù)據(jù)中潛在的網(wǎng)絡(luò)攻擊行為的分析流程.

首先對(duì)數(shù)據(jù)源進(jìn)行清洗,兩周的Netflow 數(shù)據(jù)量很大,需要去除無(wú)效的和可視化分析無(wú)關(guān)的維度信息.然后對(duì)可視化圖形進(jìn)行數(shù)據(jù)建模,需要對(duì)平行坐標(biāo)圖的信息熵部分、矩陣圖和氣泡圖中的各個(gè)端口、主機(jī)的流量、被掃描端口數(shù)等分類進(jìn)行統(tǒng)計(jì)分析.第二,根據(jù)三維柱狀圖中方塊的高度、顏色的深淺定位流量異常時(shí)刻.第三,獲取異常時(shí)刻的平行坐標(biāo)圖,綜合分析各維度數(shù)據(jù),核對(duì)網(wǎng)絡(luò)攻擊模型,判斷網(wǎng)絡(luò)攻擊的行為.第四,根據(jù)判斷的網(wǎng)絡(luò)攻擊行為,分析細(xì)節(jié)圖中主機(jī)、端口的流量,端口的活躍連接數(shù)等信息,進(jìn)一步確定網(wǎng)絡(luò)攻擊行為的來(lái)源和影響的范圍.最后分析受到攻擊的主機(jī)、端口及攻擊源的流量時(shí)序圖,以確定發(fā)起攻擊的時(shí)間范圍和攻擊源可能發(fā)起的其他攻擊,為用戶的及時(shí)防御措施提供決策依據(jù).

3.1 端口掃描攻擊可視化分析

網(wǎng)絡(luò)上的端口號(hào)代表該計(jì)算機(jī)提供的一種網(wǎng)絡(luò)服務(wù),針對(duì)計(jì)算機(jī)上的一段端口或指定端口進(jìn)行掃描,攻擊者就可以探測(cè)到該主機(jī)提供的網(wǎng)絡(luò)服務(wù)種類,利用這些服務(wù)的已知漏洞,攻擊者就可以開始準(zhǔn)備攻擊方法.為了找到更多漏洞,有的攻擊者會(huì)一次性掃描六萬(wàn)多個(gè)端口,此行為會(huì)造成目的端口數(shù)顯著增多,目的端口熵升高.在平行坐標(biāo)圖中,選擇高亮目的端口熵趨近于1 的時(shí)刻,發(fā)現(xiàn)該時(shí)刻是2013年4月6日19：00,觀測(cè)圖10三維柱狀圖,發(fā)現(xiàn)從4月6日15 點(diǎn)開始到4月6日20 點(diǎn)左右,流量異常增多,說(shuō)明該時(shí)間段內(nèi)網(wǎng)絡(luò)受到攻擊.該時(shí)刻的平行坐標(biāo)圖如圖4所示,此時(shí)目的端口熵趨近于1,說(shuō)明遭到了多端口掃描攻擊,對(duì)應(yīng)的源IP 熵不大,說(shuō)明參與掃描的源主機(jī)并不多.

圖7 端口掃描攻擊—流量時(shí)序圖

圖8 端口掃描攻擊—流量時(shí)序圖

圖9 可視化系統(tǒng)分析流程圖

圖10 三維柱狀圖

為了進(jìn)一步確定此次攻擊中的源主機(jī)和目的主機(jī),我們從矩陣圖開始分析,如圖5所示,顏色較深的幾個(gè)源IP 地址流量顯著異常,右側(cè)表格中列出了幾臺(tái)源主機(jī)的IP 地址和它們的流量,再看源端口矩陣圖,除了常用的80 端口外,幾個(gè)非常規(guī)端口(51358,51357,45032 和45031)的流量異常多.

因?yàn)槎喽丝趻呙韫?必然會(huì)使目的IP 活躍端口數(shù)異常增多,為了確定被攻擊的目的IP,選擇該時(shí)刻下的目的IP 連接數(shù)和目的IP 活躍端口數(shù),如圖6,以目的IP172.20.0.3 為例,發(fā)現(xiàn)該主機(jī)的6 萬(wàn)多個(gè)端口被訪問了,同時(shí)發(fā)現(xiàn)還有十幾臺(tái)主機(jī)也遭到了類似的攻擊.

為了更精確的觀測(cè)源IP 和被攻擊的目的IP 的流量變化,我們選擇攻擊者10.7.5.5,發(fā)起攻擊的源端口51358 和被攻擊者172.20.0.3 作為流量時(shí)序圖觀測(cè)對(duì)象,如圖7所示是3 個(gè)主體的流量時(shí)序概覽圖,我們發(fā)現(xiàn)源端口51358 的流量分布有周期性特征,可能經(jīng)常作為攻擊行為的端口,安全人員需要對(duì)此重點(diǎn)監(jiān)測(cè).目的IP172.20.0.3 僅在4月6日19 點(diǎn)有一次異常流量峰值,源IP10.7.5.5 在第一周內(nèi)流量有多次異常值,說(shuō)明該源IP 曾發(fā)出過(guò)不止一次攻擊行為.圖8是我們根據(jù)時(shí)間坐標(biāo)軸定位到4月6日19 點(diǎn)時(shí)刻左右,近距離觀察該時(shí)刻的攻擊行為,從源IP10.7.5.5 和源端口51358 的流量時(shí)序圖,可以發(fā)現(xiàn)此次攻擊行為約從4月6日15 點(diǎn)開始持續(xù)到20 點(diǎn)左右結(jié)束.

綜上,2013年4月6日15 點(diǎn)開始到4月6日20 點(diǎn)左右,內(nèi)部網(wǎng)絡(luò)遭受了外部攻擊,在19 點(diǎn)左右,10.7.5.5 等多臺(tái)主機(jī)對(duì)監(jiān)控網(wǎng)絡(luò)的多臺(tái)主機(jī)發(fā)起了多端口掃描攻擊,約6 萬(wàn)多個(gè)端口被訪問了,網(wǎng)絡(luò)安全人員可以根據(jù)該可視化圖形及時(shí)做出響應(yīng),封鎖相關(guān)的源IP 和源端口,降低攻擊的影響.

3.2 DDOS 攻擊可視化分析

DDOS 攻擊是將多個(gè)傀儡機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DOS 攻擊,成倍地提高拒絕服務(wù)攻擊的威力,從而導(dǎo)致目標(biāo)迅速癱瘓.如果在很短的時(shí)間內(nèi),有大量的不同源IP 朝同一目的IP 大量發(fā)包,就表示 DDoS 攻擊存在,匹配表1異常熵模式圖,會(huì)發(fā)現(xiàn)DDOS 攻擊會(huì)造成源IP 熵增多,目的IP 熵減少.依據(jù)此特征,我們選擇高亮4月2日14 點(diǎn),如圖11,發(fā)現(xiàn)該時(shí)刻下,連接數(shù)和字節(jié)數(shù)較多,但目的IP 熵和目的端口熵趨近于0,說(shuō)明活躍的目的主機(jī)較少,同時(shí)源IP 熵不小,源端口熵趨近于1.表示此次攻擊行為是聯(lián)合多臺(tái)主機(jī)通過(guò)多個(gè)端口集中針對(duì)某些IP 發(fā)起的,符合DDOS 攻擊的行為特征.

該時(shí)刻下Top-20 流量矩陣圖如圖12,我們發(fā)現(xiàn)顏色較深的方塊較多,表示異?；钴S的源IP 數(shù)較多,右側(cè)列表表示源端口80、0、123 端口等流量較多,說(shuō)明此次攻擊行為是多主機(jī)借助一般常用端口發(fā)起的攻擊行為.活躍的目的IP 有多個(gè),其中目的IP172.30.0.4 流量顯著異常,結(jié)合氣泡圖的目的IP 連接數(shù)發(fā)現(xiàn),如圖13,該時(shí)刻下目的IP10.6.6.6,10.6.6.14,172.30.0.4 等承受了大量的攻擊,其中目的IP172.30.0.4 連接數(shù)達(dá)到700 多萬(wàn)個(gè),同時(shí)多臺(tái)源IP 的連接數(shù)都表現(xiàn)異常,表明這些主機(jī)都參與了此次DDOS 攻擊.

圖11 DDOS 攻擊—概覽圖

圖12 DDOS 攻擊—矩陣圖

圖13 DDOS 攻擊—?dú)馀輬D

我們選擇部分較活躍的攻擊方源IP10.6.6.14、10.16.5.15,受攻擊方目的IP172.30.0.4 作為此次分析的入口,觀測(cè)他們?cè)谄渌麜r(shí)刻的流量情況.如圖14所示,發(fā)現(xiàn)攻擊方10.6.6.14 和10.16.5.15 在兩周內(nèi)只出現(xiàn)過(guò)一次流量高峰,但受害服務(wù)器172.30.0.4 分別在4月3日19 點(diǎn)左右和4月11日20 點(diǎn)左右還有另外兩次流量高峰期,可以推測(cè)該服務(wù)器在這兩個(gè)時(shí)間段內(nèi)有其他異常情況出現(xiàn).

綜上,2013年4月2日14 點(diǎn)左右網(wǎng)絡(luò)受到了DDOS攻擊,該次攻擊是聯(lián)合多臺(tái)源主機(jī)針對(duì)特定的某幾個(gè)主機(jī)發(fā)起的,如172.30.0.4、10.6.614 等,受攻擊的端口主要集中在常用的8 0、1 2 3 端口,同時(shí)目的IP172.30.0.4 在其他時(shí)刻還有疑似的異常行為.

圖14 DDOS 攻擊—流量時(shí)序圖

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)可視化技術(shù)是未來(lái)網(wǎng)絡(luò)安全監(jiān)測(cè)的重要發(fā)展方向和研究熱點(diǎn).本文構(gòu)建的網(wǎng)絡(luò)可視化系統(tǒng)采用多圖聯(lián)動(dòng)的形式,優(yōu)化了高維度數(shù)據(jù)的可視化,為用戶提供了豐富的可交互式操作,有利于用戶發(fā)掘數(shù)據(jù)間的關(guān)聯(lián),提升用戶體驗(yàn).但本系統(tǒng)采用的數(shù)據(jù)類型較為單一,而且不能實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)安全數(shù)據(jù),無(wú)法幫助安全人員及早發(fā)現(xiàn)網(wǎng)絡(luò)威脅.本文的下一步研究方向,將引入多種類型的網(wǎng)絡(luò)安全數(shù)據(jù),采用數(shù)學(xué)模型提取各種數(shù)據(jù)的特征,利用Spark 對(duì)數(shù)據(jù)的快速處理和實(shí)時(shí)展現(xiàn)技術(shù),構(gòu)建一個(gè)完善的網(wǎng)絡(luò)安全評(píng)估系統(tǒng).